home
SAA-C03

[network] AWS 네트워킹 한눈에

VPC, 서브넷, 게이트웨이, 피어링… 네트워크 서비스가 너무 많다면, 먼저 전체 지도를 펼쳐 어디에 뭐가 있는지부터 봅니다.

One-Line Summary

네트워킹 문제는 대부분 ① 나만의 사설 네트워크를 어떻게 설계하나(VPC·서브넷·라우팅), ② 그 안팎을 어떻게 안전하게 연결하나(IGW·NAT·엔드포인트·피어링·VPN·Direct Connect), ③ 무엇으로 접근을 통제하나(보안 그룹·NACL), ④ 이름을 IP로 어떻게 바꾸나(Route 53 DNS) 로 나눠 보면 풀린다.

이 카테고리의 범위

로드 밸런싱(ELB), CDN(CloudFront), 경로 최적화(Global Accelerator)는 compute 노트에 있으므로 여기서는 교차 링크만 한다. network 카테고리는 VPC 내부 설계 · 연결성 · 접근 통제 · DNS에 집중한다.

Abbreviations

약어풀네임의미
VPCVirtual Private CloudAWS 안의 격리된 가상 사설 네트워크(리전 단위)
SubnetSubnetworkVPC를 나눈 하위 구획(단일 AZ)
IGWInternet GatewayVPC를 인터넷에 연결하는 관문
NATNetwork Address Translation프라이빗 서브넷의 아웃바운드 인터넷 대행
NACLNetwork Access Control List서브넷 단위 stateless 방화벽
SGSecurity Group인스턴스(ENI) 단위 stateful 방화벽
pcxVPC Peering두 VPC를 1:1로 사설 연결
TGWTransit Gateway다수 VPC·온프렘을 허브로 연결
DXDirect Connect온프레미스와 전용 물리 회선
VGWVirtual Private GatewayVPC 쪽 VPN/DX 종단 게이트웨이
AZAvailability Zone리전 안의 독립된 데이터센터 묶음

Big Picture — 요구사항 → 서비스

요구사항먼저 떠올릴 것
AWS 안에 격리된 나만의 사설 네트워크VPC
VPC를 용도별 작은 네트워크로 분할Subnet (public / private)
서브넷의 트래픽 경로 결정Route Table
VPC를 인터넷에 연결(인바운드/아웃바운드)Internet Gateway (IGW)
프라이빗 서브넷의 아웃바운드 인터넷(IPv4)NAT Gateway
프라이빗 서브넷의 아웃바운드 인터넷(IPv6)Egress-only IGW
인스턴스 단위 방화벽(stateful)Security Group
서브넷 단위 방화벽(stateless, deny 가능)Network ACL
인터넷 안 거치고 AWS 서비스(S3 등) 접근VPC Endpoint (Gateway / Interface / PrivateLink)
두 VPC를 사설로 직접 연결(소수)VPC Peering
다수 VPC·온프렘을 허브로 연결(확장)Transit Gateway
온프레미스와 암호화 터널 연결(빠르게·저렴)Site-to-Site VPN
온프레미스와 전용 물리 회선(일관·대용량)Direct Connect (DX)
도메인 이름 → IP 변환, 라우팅 정책Route 53
VPC 트래픽 흐름 로깅/감사VPC Flow Logs

한 장으로 보는 VPC 아키텍처

아래 그림 하나에 이 카테고리의 대부분이 들어있다 — VPC 경계, AZ별 public/private 서브넷, IGW, NAT, Multi-AZ DB, Gateway Endpoint.

            Internet
               │
           ┌───┴───┐
           │  IGW  │
           └───┬───┘
               │
┌─ VPC 10.0.0.0/16 ─────────────────────────────────────────┐
│ ┌─ AZ-a ──────────────────┐   ┌─ AZ-c ──────────────────┐ │
│ │ ┌────────────────────┐  │   │ ┌────────────────────┐  │ │
│ │ │ public 10.0.1.0/24 │  │   │ │ public 10.0.3.0/24 │  │ │
│ │ │ ALB · NAT GW       │  │   │ │ ALB · NAT GW       │  │ │
│ │ └────────────────────┘  │   │ └────────────────────┘  │ │
│ │       │                 │   │       │                 │ │
│ │       ▼                 │   │       ▼                 │ │
│ │ ┌─────────────────────┐ │   │ ┌─────────────────────┐ │ │
│ │ │ private 10.0.2.0/24 │ │   │ │ private 10.0.4.0/24 │ │ │
│ │ │ App EC2             │ │   │ │ App EC2             │ │ │
│ │ │ RDS (primary)       │ │   │ │ RDS (standby)       │ │ │
│ │ └─────────────────────┘ │   │ └─────────────────────┘ │ │
│ └─────────────────────────┘   └─────────────────────────┘ │
│                                                           │
│ Gateway Endpoint ──► S3 / DynamoDB                        │
└───────────────────────────────────────────────────────────┘
  • public 서브넷(라우트 0.0.0.0/0 → IGW): ALB·NAT Gateway 같은 인터넷 접점.
  • private 서브넷(IGW 경로 없음): App·DB. 아웃바운드는 NAT 경유.
  • 여러 AZ에 대칭 배치 → 한 AZ가 죽어도 서비스 유지(HA). S3/DynamoDB는 Gateway Endpoint로 NAT 없이 사설 접근.

헷갈리는 선택 정리 (시험 단골 비교)

네트워크 문제는 대개 비슷해 보이는 두 서비스 중 하나를 고르는 형태다. 아래 6개 축이 가장 자주 나온다.

1) 인터넷 연결: IGW vs NAT vs Egress-only IGW

방향대상배치
IGW인바운드+아웃바운드VPC 전체(퍼블릭 서브넷)VPC에 부착
NAT Gateway아웃바운드만(IPv4)프라이빗 서브넷퍼블릭 서브넷에
Egress-only IGW아웃바운드만(IPv6)프라이빗 서브넷VPC에 부착

"프라이빗 서버가 패치·외부 API로 나가야 하지만 외부에서 들어오는 건 막고 싶다" → NAT(IPv4) / Egress-only IGW(IPv6).

2) VPC 연결: Peering vs Transit Gateway

VPC PeeringTransit Gateway
구조1:1, 비전이적(non-transitive)허브-스포크, 전이적
규모소수 VPC다수 VPC·온프렘·멀티계정
비용/지연저렴, 최저 지연관리 단순(대신 시간당 요금)

"VPC가 3~4개 넘고 온프렘까지 얽힌다 / 메시가 폭발한다" → TGW. "딱 두 VPC만 붙인다" → Peering.

3) 온프레미스 연결: Site-to-Site VPN vs Direct Connect

VPNDirect Connect
경로인터넷 위 암호화 터널전용 물리 회선
지연·대역폭변동적일관·대용량
구축 속도/비용빠름·저렴수주~수개월·고비용
암호화기본 내장(IPsec)기본 없음(필요 시 VPN 병행)

"즉시·저렴·암호화" → VPN. "일관된 저지연·대용량·규정상 전용선" → DX(+백업으로 VPN).

4) AWS 서비스 사설 접근: Gateway Endpoint vs Interface Endpoint

Gateway EndpointInterface Endpoint (PrivateLink)
대상S3·DynamoDB 전용대부분의 AWS/서드파티 서비스
구현라우트 테이블 항목서브넷에 ENI(사설 IP)
비용무료시간당 + 데이터 요금

"S3/DynamoDB를 NAT 없이 사설로" → Gateway Endpoint(무료). "그 외 서비스나 온프렘에서 사설 IP로" → Interface Endpoint.

5) 접근 통제: Security Group vs NACL

Security GroupNACL
단위인스턴스(ENI)서브넷
상태stateful(응답 자동 허용)stateless(응답도 규칙 필요)
규칙allow만allow + deny

"특정 악성 IP를 차단" → NACL(deny 가능). "계층 간 접근을 IP 없이" → SG 참조. 상세는 security-group-vs-nacl.

6) public vs private 서브넷은 무엇이 결정하나

서브넷 이름이 아니라 연결된 라우트 테이블에 0.0.0.0/0 → IGW 경로가 있느냐가 결정한다. 상세는 route-table.

Common Wrong Directions

오답 방향왜 부족한가
다수 VPC·온프렘 연결을 Peering 메시로연결 수가 폭발 → Transit Gateway
Direct Connect면 암호화까지 된다고 봄DX는 기본 암호화 없음 → 필요 시 VPN 병행
S3 사설 접근에 Interface Endpoint(비용)S3/DynamoDB는 Gateway Endpoint(무료)
프라이빗 아웃바운드를 IGW로 해결프라이빗은 NAT(IPv4)/Egress-only IGW(IPv6)
특정 IP 차단을 SG로SG는 allow-only → NACL deny
"public 서브넷"이면 자동 인터넷 연결라우트 테이블 IGW 경로 유무가 결정
ELB/CloudFront를 network 노트에서 찾음이들은 compute 카테고리

Exam Triggers

문제에서 이런 표현이 나오면떠올릴 것
"isolated private network in AWS"VPC
"private instances need outbound internet"NAT Gateway (IPv6는 Egress-only IGW)
"connect many VPCs and on-prem centrally"Transit Gateway
"connect just two VPCs privately"VPC Peering
"encrypted tunnel over internet to on-prem, quickly"Site-to-Site VPN
"consistent low-latency dedicated line to on-prem"Direct Connect
"access S3/DynamoDB privately, no NAT, no cost"Gateway Endpoint
"access other AWS services privately via ENI"Interface Endpoint (PrivateLink)
"block a specific malicious IP"NACL deny
"record/audit VPC traffic (ACCEPT/REJECT)"VPC Flow Logs
"route domain names with latency/failover policy"Route 53

Memory Sentence

네트워크는 VPC(리전)·Subnet(AZ)로 설계하고 라우트 테이블로 흐름을 정한다. 인터넷은 IGW, 프라이빗 아웃바운드는 NAT(IPv4)·Egress-only IGW(IPv6). VPC 연결은 소수면 Peering·다수면 TGW, 온프렘은 즉시·저렴이면 VPN·일관대용량이면 DX(암호화는 별도). AWS 서비스 사설 접근은 S3/DDB면 Gateway Endpoint(무료)·그 외 Interface Endpoint. 접근 통제는 인스턴스 SG(stateful)·서브넷 NACL(stateless, deny), 트래픽 감사는 Flow Logs, 이름 해석은 Route 53.

Notes To Expand

References

댓글

아직 댓글이 없습니다.